giovedì, 28 marzo 2024

Cyber Security

Cyber Security

Cybersecurity e protezione dei dati: riflessioni di Axitea

20/01/2023

Nella Relazione Annuale presentata a luglio 2022, il Garante per la protezione dei dati personali ha evidenziato che dal 1° gennaio 2021 al successivo 31 dicembre sono state notificate 2.071 violazioni dei dati personali, il 50,5% da parte di soggetti pubblici e il 49,5% da privati. Comparando la Relazione Annuale con quella del 2021 emerge come l’anno precedente i casi segnalati erano stati invece decisamente inferiori: 1.387.

Andrea Lambiase, Chief Digital & Innovation Officer, ed Elena Cannone, Data Protection Officer di Axitea hanno svolto alcune riflessioni in merito a questi dati, in particolare a quelli relativi all’aumento eclatante dei data breach che, rispetto al 2020, sono raddoppiati, rendendo il 2021 “un anno particolarmente difficile sul fronte della cybersecurity e della protezione dei dati personali”.

La protezione dei dati, una forma di protezione del patrimonio economico e culturale di un’azienda

Per inquadrare l’andamento del 2022 sono necessarie altre valutazioni, ma testimonianze di aziende impegnate nella cyber security fanno già capire che i risultati non saranno affatto positivi.

Le  violazioni di dati personali, sempre consistenti in tutto il mondo, saranno alimentate anche da nuove strategie di attacco basate sull’AI o dalle vulnerabilità legate all’ampliamento dei confini aziendali con il lavoro ibrido.

In questo scenario, occorre guardare alla protezione dei dati come forma di protezione del patrimonio economico e culturale aziendale e provvedere non solo a mettere in campo le giuste tecnologie, ma anche ad assicurare una corretta gestione delle piattaforme di cyber security e una loro efficace integrazione a livello di organizzazione e di processi. 

L’errore umano rimane la prima vulnerabilità

Entrando nel merito delle violazioni, la Relazione del Garante riporta come queste abbiano interessato, nel settore pubblico, soprattutto comuni, istituti scolastici e strutture sanitarie (Asl, Aziende ospedaliere, Policlinici e Irccs) mentre nel settore privato, piccole e medie imprese e professionisti e grandi società del settore delle telecomunicazioni, energetico, bancario e dei servizi.

La criminalità informatica è stata legata a episodi malevoli, rappresentanti soprattutto dalla diffusione di malware di tipo ransomware: una minaccia particolarmente diffusa in Italia e che ha inciso, in alcuni casi, anche sulla riservatezza delle informazioni trattate. Questo ha permesso l’accesso non autorizzato o illecito ai dati trattati all’interno di sistemi informativi complessi e la diffusione accidentale di dati personali, a causa di erronee configurazioni dei sistemi software di gestione della posta elettronica. 

La questione “investimenti”

Come indicato anche dal Garante, la priorità in un simile contesto devono essere prioritari investimenti in sicurezza e misure di difesa dai ransomware e dal punto di vista della difesa, comprendere che l’opzione più efficace rimane la prevenzione.

Gli hacker possono essere contrastati utilizzando tecnologie di threat intelligence e logiche di “deception” per costringerli in aree di osservazione e controllo e studiarne i movimenti. Il riferimento è a interventi che interessano tutti i sistemi utilizzati dalle aziende, dai più piccoli ai più grandi: dai sistemi di controllo delle e-mail in entrata e in uscita e dei device (PC, cellulari), dai servizi di crittografia e cifratura dei dati ai sistemi di Data Loss Prevention e di VPN.

Se limiti di budget e divergenze nelle priorità aziendali spesso non consentono alle aziende di dotarsi di strumenti di prevenzione sofisticati, è bene essere pronti a rivolgersi a un team esperti di assistenza che, attraverso metodologie di settore e tecnologie innovative, possono immediatamente prendere in carico la situazione di crisi. Il rischio di diffusione di dati importanti è quindi sempre elevato, se non si intraprende, tanto a livello di business quanto da un punto di vista di mentalità aziendale, un approccio di security by design e non si compie uno sforzo costante di adattamento e conformità.

L’avvio di una collaborazione importante

Al fine di iniziare uno scambio di informazioni e di buone pratiche di sicurezza cibernetica, il Garante ha avviato una collaborazione con l’Agenzia per la cybersicurezza nazionale, che si pone proprio l’obiettivo “di garantire i diritti e la tutela della sicurezza nazionale nello spazio cibernetico”.

Questa stretta collaborazione conferma che non si può garantire la cyber security senza la protezione dei dati e viceversa; cyber security e protezione dei dati sono strettamente connesse e sono due facce della stessa medaglia.

 

(NdR). Il tema, molto dibattuto, sarà oggetto di alcuni interventi durante il prossimo evento secsolutionforum (26-27-28 aprile 2023)



Tutte le news